mboost-dp1
remora.ca
hvad er det som denne malware kan?
Er det en slags keylogger som samtidig henter ens digitale nøgle og hvad bankerne ellers bruger?
Med NemID er vi vel sikret i danmark da man skal bruge nøgle kortet for at bekræfte ens identitet og samtidig skal være fra samme IP?
Gid at folk lærte at holde deres PC'ere opdateret og bruge antivirus som også er opdateret. Derefter skal folk lade være med at installere mystiske ting og klikke ja til alt og klikke på alle banner reklamer/links. Så er vi nået et godt stykke af vejen. Vælger folk så at bruge en anden browser end IE (eller bare opdatere til nyeste) så er det endnu mere positivt. Den største trussel mod malware, trojaner, virus er stadig personen foran skærmen.
Er det en slags keylogger som samtidig henter ens digitale nøgle og hvad bankerne ellers bruger?
Med NemID er vi vel sikret i danmark da man skal bruge nøgle kortet for at bekræfte ens identitet og samtidig skal være fra samme IP?
Gid at folk lærte at holde deres PC'ere opdateret og bruge antivirus som også er opdateret. Derefter skal folk lade være med at installere mystiske ting og klikke ja til alt og klikke på alle banner reklamer/links. Så er vi nået et godt stykke af vejen. Vælger folk så at bruge en anden browser end IE (eller bare opdatere til nyeste) så er det endnu mere positivt. Den største trussel mod malware, trojaner, virus er stadig personen foran skærmen.
Ømh hvordan?
Dette er jo blot "rygter".
Kan vi ikke få nogle ordenlige nyheder i stedet for.
Lad os se det i realtime før vi begynder at overdramatisere tingene i stedet for.
Dette er jo blot "rygter".
Kan vi ikke få nogle ordenlige nyheder i stedet for.
Lad os se det i realtime før vi begynder at overdramatisere tingene i stedet for.
Der findes også andre lign. kommercielle værktøjer, f.eks. Bugat, & Carberp.
Hvis man af en eller anden grund skulle ha' lyst til at lege med nogle af de nævnte værktøjer er det nok en meget god idé et bruge et virtuelt OS, i VMware eller lign. Læste lige:
Der ligger ihvertfald leakede versioner på usenet.
Hvis man af en eller anden grund skulle ha' lyst til at lege med nogle af de nævnte værktøjer er det nok en meget god idé et bruge et virtuelt OS, i VMware eller lign. Læste lige:
http://krebsonsecurity.com/2010/10/spyeye-v-zeus-rivalry-ends-in-quiet-merger/ skrev:Using the handle Gribodemon here, the software developer scoffed, saying he had secretly built in a backdoor that would allow him to seize remote control over PCs infected with his bot. “Ah, yes. I forgot to mention that in the ‘leaked’ version there is still a backdoor which I have now activated,” Gribodemon wrote. “Thank you, rogue, for the completion of my botnet.”
Der ligger ihvertfald leakede versioner på usenet.
#3
Der kan vel ikke være logget to ind gennem din nemID på samme tid?
Det håber jeg ikke for så kan det vel nemt misbruges uden den anden ved det (f.eks. kopiere nøglekortet).
Derfor jeg skrev det med IP addressen, er dog ikke sikker men jeg "håber" det forholder sig således.
Der kan vel ikke være logget to ind gennem din nemID på samme tid?
Det håber jeg ikke for så kan det vel nemt misbruges uden den anden ved det (f.eks. kopiere nøglekortet).
Derfor jeg skrev det med IP addressen, er dog ikke sikker men jeg "håber" det forholder sig således.
#7
Men du glemmer, at den nøgle man indtaster, virker én gang.
Det forudsat, at nemid appletten er brugt, så det viser de rette informationer så som:
Nøglekort nummer der skal bruges.
Nummer der skal tastes nøgle ind for, findes på nøglekortet.
Lad os så antage, at alt dette er korrekt, og der reelt er godkendt mod danid.
Hvad kan man så bruge det til ?
Korrekt, ikke det store, for nøglen der er brugt, er jo ikke længere gyldig.
Men du glemmer, at den nøgle man indtaster, virker én gang.
Det forudsat, at nemid appletten er brugt, så det viser de rette informationer så som:
Nøglekort nummer der skal bruges.
Nummer der skal tastes nøgle ind for, findes på nøglekortet.
Lad os så antage, at alt dette er korrekt, og der reelt er godkendt mod danid.
Hvad kan man så bruge det til ?
Korrekt, ikke det store, for nøglen der er brugt, er jo ikke længere gyldig.
#9: Ja, man kunne håbe på at du kan kan have en aktiv session med NemID, men da reglerne jo forbyder dig at kopiere dit kort på nogel måde, kan det ikke ske, og så er det nok ikke medtaget (det giver jo mere arbejde at medtage det i koden) :-P
Generelt så kan du jo sagtens bruge dit NemID et sted, og 10 min. senere et andet. Det burde være muligt, så medmindre du holder din session aktiv hele tiden, så er det her da ikke et problem for at udnytte NemID?
Generelt så kan du jo sagtens bruge dit NemID et sted, og 10 min. senere et andet. Det burde være muligt, så medmindre du holder din session aktiv hele tiden, så er det her da ikke et problem for at udnytte NemID?
@11:
Et program på brugerens maskine kan stadig stjæle ens session, især hvis den "genkender" den eg. bankside du går ind på.
Jeg logger ind, og mens der står "loading" lidt vel længe (og/eller browseren går ned), kommunikerer programmet med min netbank om en konto i Schweiz...
Er din computer kompromiteret, er du fucked ligegyldig hvad. Al sikkerhed må derfor antage at du ikke er kompromiteret. Så de individuelle nøgler til de enkelte transaktioner kan lige så godt genereres løbende og/eller være krypteret med dit normale password som nøgle - det er lige så sikkert.
Man kan bare ikke sælge "nu uden pap"-løsninger til monopol-priser...
Et program på brugerens maskine kan stadig stjæle ens session, især hvis den "genkender" den eg. bankside du går ind på.
Jeg logger ind, og mens der står "loading" lidt vel længe (og/eller browseren går ned), kommunikerer programmet med min netbank om en konto i Schweiz...
Er din computer kompromiteret, er du fucked ligegyldig hvad. Al sikkerhed må derfor antage at du ikke er kompromiteret. Så de individuelle nøgler til de enkelte transaktioner kan lige så godt genereres løbende og/eller være krypteret med dit normale password som nøgle - det er lige så sikkert.
Man kan bare ikke sælge "nu uden pap"-løsninger til monopol-priser...
Man bøhøves ikke at spoofe en webside, for at misbruge nemId, da namId appletten ligger på https://applet.danid.dk, så hvis bare man hijacker den url (fx via hosts fil ændring) så skal man bare have en applet der køre på ens egen server, der ligner nemId's (fx brug den gui der allerede ligger i den .jar man henter når man bruger nemId).
Så har man en perfekt kopi, samt info om hvilken netbank brugeren bruger normalt,, og alt info til at logge ind og tømme kontoen.
Så har man en perfekt kopi, samt info om hvilken netbank brugeren bruger normalt,, og alt info til at logge ind og tømme kontoen.
Jeg forstår ikke folks argumenter med NemID spoofing.
Lad os antage at jeg laver malware og får folk til at taste deres nemID-koder sammen med loginoplysninger, på en side hvor jeg kan lagre det i en database som jeg kan gennemgå efter behag.
Nu vil jeg så stjæle penge fra de her folk der faldt for den. Jeg logger ind på deres netbank og konfronteres med at skulle indtaste det KORREKTE nemID-nummer. Der er en *hel* del forskellige numre at vælge mellem. Hvad er odds'ene for at den beder om præcist det nummer jeg stjal?
Jeg er ikke NemID-tilhænger, men lige netop denne diskussion synes jeg egentligt at NemID vinder.
#15 >
Lad os antage du har hacked min computer med trojanere og alt hvad du vil. At jeg samtidigt har wake on lan slået til, og at du kan kontrollere min computer som hvis du sad foran den.
Med den undtagelse at du ikke har mit NemID-kort.
Ok, du kan følge med i de koder jeg indtaster - og du kan lokke mig til at indtaste NemID-koder der aldrig bruges, og som dermed stadigvæk er valid.
Hvis vi antager at du får bare 5 koder på den her måde - hvad er så odds'ene for at det er en af de koder du skal bruge, når du sidder og mangler 2.000 kroner at købe din næste playstation for?
Der er 148 nøglekoder på et kort. Du satser alt på et bræt på at få lige nøjagtigt den kode du har lokket fra mig, præsenteret.
Eller er der bare noget jeg overser her?
Lad os antage at jeg laver malware og får folk til at taste deres nemID-koder sammen med loginoplysninger, på en side hvor jeg kan lagre det i en database som jeg kan gennemgå efter behag.
Nu vil jeg så stjæle penge fra de her folk der faldt for den. Jeg logger ind på deres netbank og konfronteres med at skulle indtaste det KORREKTE nemID-nummer. Der er en *hel* del forskellige numre at vælge mellem. Hvad er odds'ene for at den beder om præcist det nummer jeg stjal?
Jeg er ikke NemID-tilhænger, men lige netop denne diskussion synes jeg egentligt at NemID vinder.
#15 >
Lad os antage du har hacked min computer med trojanere og alt hvad du vil. At jeg samtidigt har wake on lan slået til, og at du kan kontrollere min computer som hvis du sad foran den.
Med den undtagelse at du ikke har mit NemID-kort.
Ok, du kan følge med i de koder jeg indtaster - og du kan lokke mig til at indtaste NemID-koder der aldrig bruges, og som dermed stadigvæk er valid.
Hvis vi antager at du får bare 5 koder på den her måde - hvad er så odds'ene for at det er en af de koder du skal bruge, når du sidder og mangler 2.000 kroner at købe din næste playstation for?
Der er 148 nøglekoder på et kort. Du satser alt på et bræt på at få lige nøjagtigt den kode du har lokket fra mig, præsenteret.
Eller er der bare noget jeg overser her?
#11, jeg har tænkt samme tanker som dig. Men jeg blev overbevist om, at det ikke var sikkert:
Jeg har lavet en side, ladværemedatloggepånemidpådenherside.dk, hvor jeg får dig til at gå ind på. Du åbner den java applet som jeg har på siden. Men den applet har hentet den rigtige applet, og kender således til en ægte nøgle (eller i hvert fald nummeret til en nøgle). Appleten beder dig om en rigtig nøgle, du skriver den ind, og der sker en fejl; du bliver ikke logget ind på din netbank. Men jeg har pludselig en nøgle! Min applet logger så ind på din netbank, og snupper dine penge, samtidig med at du logger ind.
Jeg har lavet en side, ladværemedatloggepånemidpådenherside.dk, hvor jeg får dig til at gå ind på. Du åbner den java applet som jeg har på siden. Men den applet har hentet den rigtige applet, og kender således til en ægte nøgle (eller i hvert fald nummeret til en nøgle). Appleten beder dig om en rigtig nøgle, du skriver den ind, og der sker en fejl; du bliver ikke logget ind på din netbank. Men jeg har pludselig en nøgle! Min applet logger så ind på din netbank, og snupper dine penge, samtidig med at du logger ind.
Det er sku da meget nemmere at lave en trojaner der fyrer nogle javascripts af i ens browser lige inden man klikker på "OK".... Jeg tror de færreste kigger på om konto nummeret er korrekt i den validerings side der vises inden transaktionen fuldføres.
javascript:form(document.tvForm.otherregno.value='1234')
bum bum bum..
javascript:form(document.tvForm.otherregno.value='1234')
bum bum bum..
Alrekr (18) skrev:#11, jeg har tænkt samme tanker som dig. Men jeg blev overbevist om, at det ikke var sikkert:
Jeg har lavet en side, ladværemedatloggepånemidpådenherside.dk, hvor jeg får dig til at gå ind på. Du åbner den java applet som jeg har på siden. Men den applet har hentet den rigtige applet, og kender således til en ægte nøgle (eller i hvert fald nummeret til en nøgle). Appleten beder dig om en rigtig nøgle, du skriver den ind, og der sker en fejl; du bliver ikke logget ind på din netbank. Men jeg har pludselig en nøgle! Min applet logger så ind på din netbank, og snupper dine penge, samtidig med at du logger ind.
Men for at kunne overføre pengene skal du stadig have TO nøgler, den første til at logge ind med og den anden til at godkende med...
(sådan er det ihvertfald hos arbejdernes bank)
Alrekr (21) skrev:#20, mener du Arbejdernes Landsbank, al-bank.dk? Dem er jeg hos nu; jeg har endnu ikke brugt nøgler til andet end at logge ind.
tidligere var det ihvertfald sådan at man skulle godkende når man flytter pengene til en anden konto, men har lige tjekket, man skal bare skrive sit password igen(!). Men har prøvet hvor jeg skulle overføre en stor sum penge (25K) til en andens konto ville den have en kode som jeg fik tilsendt over SMS..
Og ja det er AL-bank.dk jeg snakker om
jakobdam (17) skrev:Eller er der bare noget jeg overser her?
Ja, malware, der leger "man in the middle" og kender til netbanken.
1. Du forsøger at logge ind.
2. Malware henter bankens side, hvor den beder om en specifik nøgle.
3. Den viser denne side for dig.
4. Du indtaster de rigtige informationer, som Malwaren nupper.
5. Malwaren logger ind some dig.
6. Din skærm kan hænge lidt, eller andet, mens Malwaren nupper dine penge.
Den virkelig avancerede malware vil dog lade dig afslutte dine gøremål, igennem sig (uden at lade dig logge af), og derefter blot gøre det hele efter du har logget af...
Spreder Zeus/Spyeye sig på andre måder end "almindelige" vira?
Kunne nogle IT-eksperter her på siden fortælle hvordan man bedst undgår det eller give nogle råd til os der bruger det mere på hobby-plan?
(Ja jeg ved godt at jeg ikke er kunde nr. 1 million på alle sider jeg besøger, og jeg er heller ikke interesseret i gratis smileys.
(eller andre måder man kan undgå med sund fornuft.)
#Offtopic
Hvis bare de offentlige IT-projekter vare ligeså "gode", som de her botnet.
Kunne nogle IT-eksperter her på siden fortælle hvordan man bedst undgår det eller give nogle råd til os der bruger det mere på hobby-plan?
(Ja jeg ved godt at jeg ikke er kunde nr. 1 million på alle sider jeg besøger, og jeg er heller ikke interesseret i gratis smileys.
(eller andre måder man kan undgå med sund fornuft.)
#Offtopic
Hvis bare de offentlige IT-projekter vare ligeså "gode", som de her botnet.
caragou (25) skrev:Kunne nogle IT-eksperter her på siden fortælle hvordan man bedst undgår det eller give nogle råd til os der bruger det mere på hobby-plan?
Bare rolig. Her på Newz.dk er alle IT-eksperter.
#24 Hver gang du skal godkende noget i banken, så skal du bruge en ny kode. Koden kan vises én gang, så selvom du ikke taster noget ind, så bliver den ugyldig på time-out eller på en sideopdatering.
Du skal indtaste en ny kode, som kun passer til den enkelte eller de overførsler du får vist.
Du ved jo, hvilke beløb du vælger at overfører.
Du skal virkelig være både dum og uopmærksom, hvis den skal gå galt med den nøglekortssikkerhed.
Du skal indtaste en ny kode, som kun passer til den enkelte eller de overførsler du får vist.
Du ved jo, hvilke beløb du vælger at overfører.
Du skal virkelig være både dum og uopmærksom, hvis den skal gå galt med den nøglekortssikkerhed.
Som #24 er inde på så ja så kan en trojaner sagtens være til fare for at du får stjålet dine penge, da hver overførsel ikke kræver ny indtastning af nemID (hvilket burde være nødvendigt for at være endnu bedre beskyttet). Ja du bruger mange koder men det kan ordnes på flere måder.
1. vha. keypass/nøglering som i diverse MMO
2. ved at kunne tilføje alle betalinger i en stak (pbs. pengeoverførsler osv.) og så bekræfte alle over en kam.
3. begge dele.
Sikkerheden er god nok indtil videre, men den kan stadigt forbedre for at beskytte mod "man in the middle" angreb. Det kan nok aldrig gøres 100% sikkert, men man kan gøre det ekstremt svært for udvedkommende især når folk holder deres software opdateret og geninstallerer windows hvert år samt installerer opdateringer + antivirus + firewall inden den går på nettet.
1. vha. keypass/nøglering som i diverse MMO
2. ved at kunne tilføje alle betalinger i en stak (pbs. pengeoverførsler osv.) og så bekræfte alle over en kam.
3. begge dele.
Sikkerheden er god nok indtil videre, men den kan stadigt forbedre for at beskytte mod "man in the middle" angreb. Det kan nok aldrig gøres 100% sikkert, men man kan gøre det ekstremt svært for udvedkommende især når folk holder deres software opdateret og geninstallerer windows hvert år samt installerer opdateringer + antivirus + firewall inden den går på nettet.
#28 Ok, sådan er det ihvertfald i min bank, og den netbank har i 7 år været låst til de computer, jeg har tilmeldt. Hvis jeg f.eks. gik en fra en anden, så skulle den godkendes af banken.
Uanset, så skal bankens hjemmeside hackes, man går jo ind i netbanken via bankens egen hjemmeside. Der sidder folk og overvåger systemerne 24/7.
Den faktor regner han slet ikke med.
Man er jo komplet passer, hvis man nogen siden logger ind via noget som helst, hvor de via mail har sendt et link. De er efterhånden elementær viden, at man kun går ind på loginsider, via den side som tilhøre det man skal logge ind på. Jeg mener, selv min gamle farfar ved det, og er efterhånden irriteret over scammails.
Ældresagen oplyser og vejleder om den slags.
Men ja, der er også stadig folk, som bliver franaret penge gennem scammails, men så snakker vi ikke længere bankernes sikkerhed, men overlegen dumhed, og det kan man ikke lave procedurer der beskytter imod. Derfor er de uinteressant at diskutere i sikkerhedsspørgsmål.
Giver man sin kode og kort til en mand nede på gaden, så er det ikke længere bankens sikkerhed, men vedkomenes dumhed der forklare misbruget.
... Og jeg synes, #24's hvis hvis hvis, hvis brugeren nu bare er ualmindelig dum, så kan tilsvine banken tese ikke rigtigt holder.
Uanset, så skal bankens hjemmeside hackes, man går jo ind i netbanken via bankens egen hjemmeside. Der sidder folk og overvåger systemerne 24/7.
Den faktor regner han slet ikke med.
Man er jo komplet passer, hvis man nogen siden logger ind via noget som helst, hvor de via mail har sendt et link. De er efterhånden elementær viden, at man kun går ind på loginsider, via den side som tilhøre det man skal logge ind på. Jeg mener, selv min gamle farfar ved det, og er efterhånden irriteret over scammails.
Ældresagen oplyser og vejleder om den slags.
Men ja, der er også stadig folk, som bliver franaret penge gennem scammails, men så snakker vi ikke længere bankernes sikkerhed, men overlegen dumhed, og det kan man ikke lave procedurer der beskytter imod. Derfor er de uinteressant at diskutere i sikkerhedsspørgsmål.
Giver man sin kode og kort til en mand nede på gaden, så er det ikke længere bankens sikkerhed, men vedkomenes dumhed der forklare misbruget.
... Og jeg synes, #24's hvis hvis hvis, hvis brugeren nu bare er ualmindelig dum, så kan tilsvine banken tese ikke rigtigt holder.
Pointen er at det med at låse login til en pc er fjernet med nemId, nu er der fri adgang fra alle PC'er.-N- (29) skrev:#28 Ok, sådan er det ihvertfald i min bank, og den netbank har i 7 år været låst til de computer, jeg har tilmeldt. Hvis jeg f.eks. gik en fra en anden, så skulle den godkendes af banken.
Uanset, så skal bankens hjemmeside hackes, man går jo ind i netbanken via bankens egen hjemmeside. Der sidder folk og overvåger systemerne 24/7.
Den faktor regner han slet ikke med.
Og nej, banken hjemmeside behøves du ikke hacke. Kan man få en trojan, virus, ændret netkorts firmware eller lign ind på din pc (nu antager jeg lige windows for simplethedens skyld) så er det eneste du behøves at gøre, at sørge for at istedet for applet.danid.dk pejer på danid's server, så pejer det på en server du har kontrol over.
Grunden til det er nok, er at alle sider der bruger nemID, injecter nemID applikationen fra den url.
Så hvis den url pejer på "applet.hackNemid.nu", så vil der automatisk bliv indsat en falsk nemId applet på alle de nemId sider du besøger - UDEN man skal kende noget til bankernes individuelle side, og uden banken kan se det.
Denne nemid applet, kan så bag din ryg sende kald videre mod din netbank, mens den bare ser ud til at spørge om dine alm. login informationer.
-N- (29) skrev:#28 Ok, sådan er det ihvertfald i min bank, og den netbank har i 7 år været låst til de computer, jeg har tilmeldt. Hvis jeg f.eks. gik en fra en anden, så skulle den godkendes af banken.
Uanset, så skal bankens hjemmeside hackes, man går jo ind i netbanken via bankens egen hjemmeside. Der sidder folk og overvåger systemerne 24/7.
Den faktor regner han slet ikke med.
Vil du ikke godt lade være med at udtale dig om ting du ikke har forstand på.
Bankens side behøver IKKE hackes, brugeren skal bare forvilde sig ind på en forkert side. f.eks nodea.dk :)
Eller et stykke malware kan sende dig til en anden side end du tror du går ind på :)
-N- (29) skrev:
... Og jeg synes, #24's hvis hvis hvis, hvis brugeren nu bare er ualmindelig dum, så kan tilsvine banken tese ikke rigtigt holder.
Men det har jo nettop ikke nødvendigvis noget at gøre med brugerens intelligens? og selv hvis det havde ville det stadig være relevant, da nogle mennesker bare ikke ved bedre.
#31+32
Lyder lidt som om i lider af panik angst fra proof og concept.
Netbankernes systemer kan jo også detektere mange ting, og det er trodsalt yderst begrænset, hvad der er af svindel i danske netbanker, selvom problemet er stigende.
De skal konstant lave en nye server, de skal have opdateret alle klienterne for at kontakte de nye servere osv. Det er et lidt mere omfattende arbejde, og man kan ikke bare opdatere det hele via. fjæs. Bankerne skal nok holde sig opdateret på fjæs opdateringerne.
Desuden skal firmware skrives til de enkelte chipsset.
Bankerne arbejder jo samme på internationalt niveau, alle banker er hele tiden fuldt opdateret.
Men det lyder ikke særlig velovervejet, at nøglen ikke er bundet til en eller flere computere, måske det nemt kunne omgåes?
Lyder lidt som om i lider af panik angst fra proof og concept.
Netbankernes systemer kan jo også detektere mange ting, og det er trodsalt yderst begrænset, hvad der er af svindel i danske netbanker, selvom problemet er stigende.
De skal konstant lave en nye server, de skal have opdateret alle klienterne for at kontakte de nye servere osv. Det er et lidt mere omfattende arbejde, og man kan ikke bare opdatere det hele via. fjæs. Bankerne skal nok holde sig opdateret på fjæs opdateringerne.
Desuden skal firmware skrives til de enkelte chipsset.
Bankerne arbejder jo samme på internationalt niveau, alle banker er hele tiden fuldt opdateret.
Men det lyder ikke særlig velovervejet, at nøglen ikke er bundet til en eller flere computere, måske det nemt kunne omgåes?
Altså hvis at der er malware som komplet overtager ens PC, selvom jeg tvivler på at det gør det så godt, så kan den fortælle ens PC at bankens hjemmeside ligger på en anden IP adresse, så at linket jo ligner det sædvanlige på ens computer.
Derefter er det som tidligere skrevet et spørgsmål om at de lader brugeren tro at det er dem selv som er logget ind på netbanken og ikke igennem en anden computer, hvorefter hackeren vil kunne bruge netbanken til hvad de ny synes det kunne være sjovt at bruge den til.
Og så vidt jeg ved er dette NemID netbank system generelt ikke låst til en IP adresse.
Men ja, jeg tvivler nu på at det er noget de bare lige gør. Jeg tror ikke der er lavet anti NemID malware endnu, hvertfald ikke noget der fungere uden at en hacker et andet sted hjælper det på vej imens det sker. Og selv der burde ens browser selv kunne opdage at det ikke er den rigtige side man er på vej ind på. Så vidt jeg ved dobbelt tjekker den domænenavnet op mod IPen, min er da ihvertfald ret hurtigt til at advare om spoofing sites, både med min antivirus og min Opera browser i sig selv.
Derefter er det som tidligere skrevet et spørgsmål om at de lader brugeren tro at det er dem selv som er logget ind på netbanken og ikke igennem en anden computer, hvorefter hackeren vil kunne bruge netbanken til hvad de ny synes det kunne være sjovt at bruge den til.
Og så vidt jeg ved er dette NemID netbank system generelt ikke låst til en IP adresse.
Men ja, jeg tvivler nu på at det er noget de bare lige gør. Jeg tror ikke der er lavet anti NemID malware endnu, hvertfald ikke noget der fungere uden at en hacker et andet sted hjælper det på vej imens det sker. Og selv der burde ens browser selv kunne opdage at det ikke er den rigtige side man er på vej ind på. Så vidt jeg ved dobbelt tjekker den domænenavnet op mod IPen, min er da ihvertfald ret hurtigt til at advare om spoofing sites, både med min antivirus og min Opera browser i sig selv.
#33: Hvis du nu lytter efter:
Der skal INTET maskinspecifikt til for at man kan kompromittere nemID -du behøver ikke informationer omkring netkortet eller andet, fordi det er nemID ligeglad med så snart du har en session.
Hvis din computer er blevet kompromitteret er der ikke noget at gøre - malwaren kan i princippet være fuldstændig ligeglad med dit nøglekort, for de flester banker inklusive min egen, kræver kun en engangskode ved logon eller ved store transaktioner. Det eneste malwaren behøver at gøre nu er at opsnappe dit password og ellers lave din browser fryse mens den laver en masse mindre overførsler.
Det kræver selvfølgelig at man kender til strukturen på hjemmesiden i den pågældende bank at gøre det automatisk, men incitamentet for at hacke en netbank er ikke blevet mindre med nemID - Det er blevet sværere ja, da overførsler nu skal laves via den PC der har brugt en auth code fra nøglekortet, men er PCen kompromitteret med virus kan det stadig sagtens lade sig gøre - Enten via manuel indtastning, altså hvor der sidder et menneske og venter på en PC hopper i "fælden" og derefter inputter konti manuelt eller via en orm dedikeret til formålet.
- Det kan SAGTENS lade sig gøre, jeg ville endda vove og påstå at hvis du giver en 3 års studerende på software eller datalogi et halvt år til at udvikle en løsning til at kompromittere nemID så er der gode chancer for succes.
Der skal INTET maskinspecifikt til for at man kan kompromittere nemID -du behøver ikke informationer omkring netkortet eller andet, fordi det er nemID ligeglad med så snart du har en session.
Hvis din computer er blevet kompromitteret er der ikke noget at gøre - malwaren kan i princippet være fuldstændig ligeglad med dit nøglekort, for de flester banker inklusive min egen, kræver kun en engangskode ved logon eller ved store transaktioner. Det eneste malwaren behøver at gøre nu er at opsnappe dit password og ellers lave din browser fryse mens den laver en masse mindre overførsler.
Det kræver selvfølgelig at man kender til strukturen på hjemmesiden i den pågældende bank at gøre det automatisk, men incitamentet for at hacke en netbank er ikke blevet mindre med nemID - Det er blevet sværere ja, da overførsler nu skal laves via den PC der har brugt en auth code fra nøglekortet, men er PCen kompromitteret med virus kan det stadig sagtens lade sig gøre - Enten via manuel indtastning, altså hvor der sidder et menneske og venter på en PC hopper i "fælden" og derefter inputter konti manuelt eller via en orm dedikeret til formålet.
- Det kan SAGTENS lade sig gøre, jeg ville endda vove og påstå at hvis du giver en 3 års studerende på software eller datalogi et halvt år til at udvikle en løsning til at kompromittere nemID så er der gode chancer for succes.
Der skal én sølle kommando til at ændre "HOSTS" filen på din computer (win). Når man har ændret i denne fil vil din computer ALTID tro at nemid's domæne ligger på en anden ip. Hvordan skulle man kunne midlertidigt spoofe nemid's donæne og derefter lave den tilbage til den rigtige ip (windows har en dns cache, som man også lige skal tømme) ?? Det ville da være ultimativt dumt.kblood (34) skrev:Og selv der burde ens browser selv kunne opdage at det ikke er den rigtige side man er på vej ind på. Så vidt jeg ved dobbelt tjekker den domænenavnet op mod IPen, min er da ihvertfald ret hurtigt til at advare om spoofing sites, både med min antivirus og min Opera browser i sig selv.
Og nej, hverken din browser eller dit antivirus program "dobbelt tjekker" domæner.
Det er muligt at lave et program som tjekker om HOSTS filen er ændret, men man kan opnå samme resultat på tusinde andre mere sofistikeret måder.
Bedre kilde IMO: http://krebsonsecurity.com/2011/02/revisiting-the-...
Jeg siger ikke det er så let som at klø sig i rø**n at fuppe folk når de bruger NemvId, men at udtænke hvordan tog ikke mange sekunder.
1 kig kollegaen over skulderen - så har du bruger og password
2 kig forbi kollegaens bolig efter arbejde - gå ind til computeren, der ligger papir-udgaven med 56% sandsynlighed
3 du har nu, indtil din stakkels kollega opdager noget, adgang til ALT
ELLER
1 Lav et site som ligner bankens
2 Redirect til dit nye site
3 Vis de samme login informationer i dit site, som banken beder om og send de informationer du får fra brugeren videre til banken (det er ikke engang nødvendigt at beholde en kopi)
4 Giv brugeren en besked - kom tilbage om 10 min så virker systemet igen.
5 du har nu 10 min til at tømme alle konti
Sikkerhed er stadig illusion. Men, det sælger godt :)
Og, hold så op med det IP pjat. Det er hele ideen med NemID, at det IKKE er låst til en IP/MAC/andet hardware/noget som helst.
1 kig kollegaen over skulderen - så har du bruger og password
2 kig forbi kollegaens bolig efter arbejde - gå ind til computeren, der ligger papir-udgaven med 56% sandsynlighed
3 du har nu, indtil din stakkels kollega opdager noget, adgang til ALT
ELLER
1 Lav et site som ligner bankens
2 Redirect til dit nye site
3 Vis de samme login informationer i dit site, som banken beder om og send de informationer du får fra brugeren videre til banken (det er ikke engang nødvendigt at beholde en kopi)
4 Giv brugeren en besked - kom tilbage om 10 min så virker systemet igen.
5 du har nu 10 min til at tømme alle konti
Sikkerhed er stadig illusion. Men, det sælger godt :)
Og, hold så op med det IP pjat. Det er hele ideen med NemID, at det IKKE er låst til en IP/MAC/andet hardware/noget som helst.
Nicolai (36) skrev:Der skal én sølle kommando til at ændre "HOSTS" filen på din computer (win). Når man har ændret i denne fil vil din computer ALTID tro at nemid's domæne ligger på en anden ip. Hvordan skulle man kunne midlertidigt spoofe nemid's donæne og derefter lave den tilbage til den rigtige ip (windows har en dns cache, som man også lige skal tømme) ?? Det ville da være ultimativt dumt.
Og nej, hverken din browser eller dit antivirus program "dobbelt tjekker" domæner.
Det er muligt at lave et program som tjekker om HOSTS filen er ændret, men man kan opnå samme resultat på tusinde andre mere sofistikeret måder.
Bedre kilde IMO: http://krebsonsecurity.com/2011/02/revisiting-the-...
Rent faktisk er hosts filen ikke bare lige at ændre medmindre man har sat sin sikkerhed ned en hel del, eller at malwaren kan få lov til at ændre i den. Men ja, hvis den bliver ændret, så vil computeren gå ud fra den istedet for DNS. Men ja, jeg kan godt nok ikke finde noget om at Opera tjekker for andet end IDN spoofing. Men undrer mig da en del at Virus skannere ikke gør den slags, det er da en ret simpel sag at undersøge om der er enighed om hvilke IPer hører til hvilke domæner, og hvilke lande de tilhører, men ja man kan jo altid bare bruge en proxy og være helt ligeglad.
Men det lyder til at der er nogen der mener at flere banker kun kræver en kode og ikke NemID? Jeg ved at nogle af de gamle login systemer stadig virker, indtil man begynder at bruge NemID. Men når først man er begyndt at bruge NemID så skal man da bruge nøgle kortet i alle banker. Så med NemID er det ikke noget med at det kun er en kode som skal brydes.
Smaakage (40) skrev:tror 25-øren falder når nu nemid spoof siden spørger efter et nummer som ikke står på kortet. hvilket vil ske.
Nu er det ikke verdens mest kompliceret opgave at lave følgende program:
1) Spørg brugeren om brugernavn/password
2) Log ind på hans netbank med brugernavn/password
3) læs hvad nøgle kode nummer der spørges efter
4) præsentere samme nøgle nummer i dit program til brugeren
5) når brugeren taster nøgle koden ind i dit fake site, bruger du nøglen til at logge ind på hans netbank, og melder fejl tilbage til brugeren.
Jeg er fuldstændig sikret. Jeg er HELT sikker på der ikke bliver overført nogen penge fra min netbank. Også selvom en hacker får kontrol over min netbank, så taber jeg ikke en krone på det.
Men hvordan kan jeg være så sikker på jeg ikke mister nogen penge hvis min netbank bliver hijacked?
Her er min løsning:
Jeg har ingen penge.
Men hvordan kan jeg være så sikker på jeg ikke mister nogen penge hvis min netbank bliver hijacked?
Her er min løsning:
Jeg har ingen penge.
ToFFo (43) skrev:Jeg er fuldstændig sikret. Jeg er HELT sikker på der ikke bliver overført nogen penge fra min netbank. Også selvom en hacker får kontrol over min netbank, så taber jeg ikke en krone på det.
Men hvordan kan jeg være så sikker på jeg ikke mister nogen penge hvis min netbank bliver hijacked?
Her er min løsning:
Jeg har ingen penge.
Og du har naturligvis sikret dig imod at man ikke kan oprette en planlagt overførsel, der ligger og venter på at får løn/dagpenge/bistand næste gang?
Hvorfor taler folk hele tiden om NemID? Hvis en lokal maskine er kompromiteret er der ikke ret meget at gøre uanset hvilken form for xID man benytter sig af. Maskinen kan jo vise dig et vilkårligt billede af virkeligheden... man har ingen mulighed for at vide om noget af det der sker på skærmen har noget direkte med sin bank at gøre etc. etc.
I praksis er malware dog sjældent så fuldkomment :p.
I praksis er malware dog sjældent så fuldkomment :p.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund